OpenSSLがアップデート - 「Lucky13攻撃」関連など脆弱性5件を修正
OpenSSLの開発チームは、重要度「高」を含む5件の脆弱性に対処したアップデートをリリースした。
修正を公開したOpenSSL
「DROWN」で知られる脆弱性「CVE-2016-0800」に対応した3月のアップデートからおよそ2カ月ぶりの修正で、重要度「高(High)」の脆弱性1件や、「低(Low)」の脆弱性4件に対処した。
重要度「高」の脆弱性は、パディングオラクル攻撃が可能となる脆弱性「CVE-2016-2107」。「マンインザミドル攻撃(MITM攻撃)」により、通信内容が解読されるおそれがある。パディングオラクル攻撃の一種である「Lucky Thirteen攻撃」の脆弱性「CVE-2013-0169」に関連した修正だという。
開発者チームは、同脆弱性を含む5件の脆弱性を「OpenSSL 1.0.2h」および「同1.0.1t」にて解消した。
また今回のアップデートにあわせて、2015年4月より以前のバージョンに影響を与える重要度「高」のメモリ破壊の脆弱性「CVE-2016-2108」もあらたに明らかとなった。「同1.0.2c」「同1.0.1o」以降であれば影響を受けないが、あわせて注意を呼びかけている。
今回明らかとなった脆弱性は以下のとおり。
CVE-2016-2108
CVE-2013-0169
CVE-2016-2105
CVE-2016-2106
CVE-2016-2109
CVE-2016-2176
(Security NEXT - 2016/05/06 )
ツイート
PR
関連記事
「ConnectWise ScreenConnect」に脆弱性 - 修正版が公開
NETSCOUT「nGeniusONE」に複数の脆弱性 - アップデートで修正
Python向けHTTPライブラリに脆弱性 - リクエストスマグリング攻撃のおそれ
ゼロデイ攻撃は8カ月以上前 - 「Active! mail」脆弱性の影響拡大に懸念
「Erlang/OTP」脆弱性、一部Cisco製品で影響が判明
「ActiveMQ NMS OpenWire Client」にRCE脆弱性 - 修正版が公開
「GitHub Enterprise Server」に複数脆弱性 - アップデートで修正
NVIDIA製GPUドライバに複数の脆弱性 - 権限昇格やDoSのおそれ
トレンドの法人向け複数製品に脆弱性 - アップデートで修正
「Erlang/OTP」に深刻なRCE脆弱性 - 概念実証コードも公開済み
